Information Security
Software
December 2018 25

Альтернативы LastPass. Сравнительная оценка шести парольных менеджеров

Original author: Jonathan Kamens
Translation
UPD: первоначальная версия статьи включала оценку пяти парольных менеджеров, что отражено в URL и по тексту. Позже в таблицу сравнительной оценки добавили ещё Zoho Vault.

Восемь с половиной лет дома и на работе я использовал парольный менеджер LastPass, установив его всего через пару лет после выхода первой версии. Поэтому логично, что заступив на должность вице-президента по управлению деятельности компании Quantopian (а потом директора IT-безопасности), я внедрил LastPass в качестве корпоративного менеджера паролей. В течение нескольких лет он удовлетворял нас и по функциональности, и по качеству поддержки, оказываемой компанией.

Однако в 2015 году LogMeIn приобрела LastPass, и ситуация начала меняться. И качество продукта, и поддержка стали ухудшаться с момента приобретения, так что теперь наступил момент, когда мы решили отказаться от этой программы и оценить альтернативы.

Мы создали подробный чеклист и проверили по нему пять парольных менеджеров: LastPass, 1Password, Dashlane, Bitwarden и Keeper. В итоге мы решили, что наилучшим выбором для нашей компании будет Bitwarden, и мы начали процесс миграции с LastPass на Bitwarden.

Очевидно, что наши приоритеты и требования могут не совпадать с вашими, поэтому ниже приводится описание функциональности, на которой мы сосредоточились в своей оценке.

Даже если наши приоритеты отличаются от ваших, вы всё равно можете воспользоваться нашей оценкой! Ниже приведена таблица с результатами [в оригинальной версии статьи есть интерактивная сетка, которую можно настроить, чтобы оставить только те требования, которые вам нужны и сравнить любые 2−6 продуктов по конкретным характеристикам — прим. пер.].

Приоритеты системы управления паролями Quantopian


Мы используем парольный менеджер на Mac OS, Windows, Linux, Android и iOS. Он должен поддерживать все эти платформы. Самое главное, что полная функциональность не может зависеть от приложения, которое доступно только в Mac OS и/или Windows. Другими словами, отсутствие полной поддержки Linux сразу ставит крест на программе. Это исключает 1Password и Dashlane.

Недавно мы начали выдавать всем сотрудникам токены Yubikey с требованием использовать их для двухфакторной аутентификации во всех возможных приложениях и сервисах. Хотя поддержка YubiKey не рассматривалась как жёсткое требование, но тоже влияла на наш выбор. Конечно, мы отклонили бы любой парольный менеджер вообще без поддержки 2FA. К счастью, все пять продуктов обладают такой поддержкой в той или иной форме.

Кроме рабочих паролей, мы рекомендуем сотрудникам использовать парольный менеджер и для личных паролей, и стараемся упростить эту задачу. Несмотря на различные проблемы с LastPass, должны признать, что их функциональность «связанного личного аккаунта» — золотой стандарт для этой конкретной проблемы. Поэтому мы оценивали другие продукты в сравнении с LastPass по данному вопросу. Dashlane и Keeper плохо решают проблему, остальные предлагают вполне адекватные решения.

Очевидно, поскольку мы собирались перейти с LastPass на новый сервис, то важной была возможность импортировать данные из LastPass. К счастью, у всех продуктов есть такая возможность.

Ряд функций, которые мы рассмотрели, актуальны только в корпоративной (т. е. деловой) среде. Например, для личного использования, вероятно, вы не будете заботиться о связанных личных учётных записях, детальном контроле доступа или о том, какие возможности есть у администратора компании, но для нас это тоже важно.

Не в последнюю очередь имеет значение, чтобы наш парольный менеджер активно поддерживался, и чтобы люди из техподдержки реагировали на вопросы поддержки, запросы функций и отчёты об ошибках. Мы определённо подтверждаем это в случае с Bitwarden. Например, в какой-то момент во время нашей оценки мы представили отчёт об ошибке Bitwarden через их Github; один из мейнтенеров исправил баг через 17 минут, а всего через несколько дней патч ушёл в релиз.

Интерактивная сетка со сравнительными оценками


В интерактивной таблице со сравнительными оценками по умолчанию отображаются все пункты контрольного списка. Но если прокрутить вниз, то можно снять флажки с ненужных характеристик и/или выбрать для сравнения две конкретные программы.



Результаты


Функция 1Password Dashlane Bitwarden LastPass Keeper Zoho Vault
Поддержка Chrome да да да да да да
Поддержка Firefox да да да да да да
Поддержка Edge да да да да да нет
Поддержка Safari да да да да да да
Поддержка Mac OS да да да да да да
Поддержка Windows да да да да да да
Поддержка Linux слабо слабо да да да да
Консольный клиент Mac OS слабо нет да слабо да нет
Консольный клиент Windows слабо нет да слабо да нет
Консольный клиент Linux слабо нет да слабо да нет
Поддержка Android, с автозаполнением да да да да да слабо
Автозаполнение Android в Chrome да да да да да нет
Автозаполнение Android, рабочий профиль да да нет да да да
Автозаполнение Android показывает полные имена пользователей да да да да нет нет
Поддержка iOS, включая автозаполнение да да да да да да
Двухфакторная аутентификация да да да да да да
Поддержка YubiKey в браузере (Enterprise) нет нет да да да нет
Поддержка YubiKey в браузере (Personal) нет нет да да да нет
Поддержка YubiKey в Android нет нет да да нет нет
Поддержка YubiKey в iOS нет нет да да нет нет
Сохранение паролей в Android да да да да да да
Сохранение паролей в iOS да да да да да да
Вход по отпечатку пальца в Android да да да да да да
Вход по отпечатку пальца в iOS да да да да да да
Синхронизация между устройствами да да да да да да
Импорт из LastPass да да да да да да
Различие рабочих и личных профилей при импорте из LastPass нет нет нет да нет нет
Сохранение папок LastPass folders в каком-то виде при импорте да сомнительно да да да да
Привязка личного аккаунта (или эквивалент) да слабо да да нет нет
Сохранение местоположения (работа/дом) в момент создания да нет да да нет нет
Сохранение местоположения (папка/коллекция/постранство) редактируется в веб-приложении да нет да да да да
Осмысленная проверка силы мастер-пароля да нет да да да да
История паролей в Linux да нет да да да да
История паролей в Windows да да да да да да
История паролей в Mac OS да да да да да да
Безопасные заметки да да да да да слабо
Вложения к заметкам в Linux нет нет да да да да
Вложения к заметкам в Windows да да да да да да
Вложения к заметкам в Mac OS да да да да да да
Общие папки с контролем доступа на Linux да нет да да да да
Общие папки с контролем доступа на Windows да да да да да да
Общие папки с контролем доступа на Mac OS да да да да да да
Разные группы с настраиваемым контролем доступа нет нет да нет да да
Вложенные папки нет нет да да да слабо
Противостояние невидимым формам автозаполнения да да да нет да неизвестно
Плагин браузера заполняет только указанную форму нет неизвестно нет нет неизвестно да
Плагин браузера отображает иконку на полях формы да да нет да да да
Плагин браузера предлагает сохранить новые сайты на Linux нет да да да да да
Плагин браузера предлагает сохранить новые сайты на Windows неизвестно да да да да да
Плагин браузера предлагает сохранить новые сайты на Mac OS неизвестно да да да да да
Поддержка 2FA при авторизации в хранилище паролей нет нет да нет нет нет
Автозаполнение в браузере отключено по умолчанию да нет да нет нет да
Автозаполнение в браузере можно отключить да нет да да да да
Администратор может переустановить пароли да да нет да нет нет
У администратора есть доступ к приватным данным других пользователей да нет нет да да нет
Админы могут переустановить 2FA пользователей да нет нет да нет да
2FA можно принудительно внедрить на корпоративном уровне нет нет нет да да да
Есть возможность аудита 2FA на уровне организации да нет да да да нет
Экспорт под Linux нет нет да да да да
Экспорт под Windows да да да да да да
Экспорт под Mac OS да да да да да да
Экспорт аттачментов неизвестно неизвестно нет нет нет нет
Отклик на баг-репорты и запросы новых функций нет неизвестно да нет нет неизвестно
Open source нет нет да нет нет нет
Есть функция self-host слабо нет да нет нет нет
Корпоративная лицензия, месяц 7,99 4 3 6 3,75 3,6
Стоимость для одного пользователя, месяц (без аттачментов или YubiKey) 2,99 4,99 0 2 2,5 0
Стоимость для одного пользователя, месяц (с аттачментами и YubiKey) 2,99 4,99 0,84 2 2,5 0
Информативна ли страница со статусом сервиса да да нет да нет да
Количество падений сервиса за последние 6 месяцев 1 12 0 12 0 2

Что думаете?


Вы проводили аналогичную оценку для себя или своей компании? Если да, то каков был окончательный выбор и каковы решающие факторы?

Да пребудет с вами безопасность!
Каким менеджером паролей пользуетесь вы?
12.3% 1Password 93
0.6% Dashlane 5
7% Bitwarden 53
22.2% LastPass 167
1% Keeper 8
0% Zoho Vault 0
36.7% KeePass 276
8.3% Другой (напишу в комментариях) 63
11.4% Не пользуюсь менеджером паролей 86
751 user voted. 131 user abstained.
+17
18.2k 110
Support the author
Comments 128
Top of the day